Petya Virüsü Temizleme (Kesin Çözüm)

Petya’ nın ürettiği şifreyi kırabilmemiz için ihtiyacımız olan şey Petya’ nın ürettiği şifreyi hesaplayabilen bir internet sitesi (petya-pay-no-ransom-mirror1.herokuapp.com) ve Windows kurtarma CD’ si (eğer böyle bir CD oluşturmadıysanız Microsoft’ un kendi sitesinden ücretsiz olarak indirilebilirsiniz).

İnternet sitesi Petya virüsü bulaşmış Hard Diskimizin bazı bilgilerine ihtiyaç duymakta. Bu bilgileri elde etmenin iki farklı yolu vardır. İlki çok zahmetli bir yöntemdir. Bunun için internet üzerinden bir Hex-Editor programı indirerek ihtiyacımız olan tüm bilgileri okumaktır. Diğer yöntem ise güvenlik araştırmacısı olan Fabian Wosar’ ın bu amaç için ürettiği programı kullanmak. Program ücretisiz olup download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip linkinden indirilebilir. Bazı antivirüs programları bu programı tehdit olarak algılayabilir ancak program tamamen zararsızdır.

İlk adımda kurtarma CD’ sini ve yukarıdaki linkten indirmiş olduğunuz programı kopyaladığınız USB Belleği Petya virüsü bulaşmış bilgisayara takıyoruz ve bilgisayarı yeniden başlatıyoruz.

Karşınıza çıkan bu ekranda İleri seçeneğini seçiyoruz. Bu kısımda

bilgisayar onarma seçeneklerini seçiyoruz ve ardından gelişmiş ayarları seçiyoruz.

Son olarak buradan cmd’ yi çalıştır seçeneğini seçiyoruz.

Bu adımda USB belleğimizin hangi harf ile tanımlandığını bulmamız gerek. Bunun için açılan cmd ekranına notepad yazıyoruz ve ENTER tuşuna basıyoruz. Notepad programını açıktan sonra üst menüden Dosya -> Aç seçeneğini seçiyoruz ve karşımıza çıkan ekrandan USB belleğimizin hangi harf ile tanımlandığına bakıyoruz (burada F harfi ile tanımlanmış).

USB belleğimizin hangi harf ile tanımlandığını bulduktan sonra CMD ekranına USB belleğimizin harfi: (burada f:) komutunu girerek bilgisayarımızı USB belleğe yönlendiriyoruz ve ardından PetyaExtractor.exe komutunu girerek indirmiş olduğumuz programı çalıştırıyoruz.

Programı çalıştırdıktan sonra copy sector butonuna basıp otomatik olarak kopyalanan yazıyı notepad’ e yapıştırıyoruz. Ardından Copy Nonce butonuna basarak işlemi tekrarlıyoruz ve oluşturmuş olduğumuz bu dosyayı USB belleğimize kaydediyoruz.

İkinci bir bilgisayardan linkini vermiş olduğum internet sitesine giriyoruz ve oluşturmuş olduğumuz notepad dosyasının içerisindeki bilgileri bu siteye veriyoruz. İlk kutunun içerisine kopyaladığımız ilk bilgileri ikincisine ise ikini kopyaladığımız bilgiyi yapıştırıp submit butonuna basıyoruz.

Birkaç saniye bekledikten sonra ihtiyaç duyduğumuz şifre site tarafından hesaplanmış olacaktır.

Tüm resimler SemperVideo kanalındaki “Krypto-Trojaner Petya entschlüsselt” videosundan alınmıştır.

Umarım faydalı olmuştur...

WannaCry Saldırısından Korunmak için SMB'yi Kapatma

        SMB (Server Message Block); Türkçe karşılığı “Sunucu İleti Bloğu” olan, sunucu ve istemci arasındaki iletişimi sağlayan bir network protokolüdür. OSI modelinin Uygulama katmanında çalışan SMB, dosya paylaşımlarına erişmede, ağ, yazıcı ve çeşitli bağlantılarda kullanılır.
İşte WannaCry virüsü de yayılma işini bu yolla yapıyor. SMB yi kapatırsanız bir nebze yayılımını önlersiniz. Peki nasıl yapılır bu işlem?

1-PowerShell’i açıyoruz

Öncelikle “Başlat >> Çalıştır” bölümünü açınız. Kısayol olarak klavyenizden “Windows + R” tuşlarına basabilirsiniz.
Çalıştır ekranına “PowerShell” yazarak, ‘Enter’a tıklayın ve “PowerShell” ekranını açınız.
Fakat eğer yönetici hesabı ile açmadıysanız "Başlat >>Arama" kısmına "PowerShell" yazıp çıkan yerde sağ click yönetici olarak çalıştır yaparak açabilirsiniz.
Bu dosya C:\WINDOWS\system32\WindowsPowerShell\v1.0 içerisindedir. Hiç bir şey yapamazsanız bu klasör içerisinden de girebilirsiniz...

İlk önce SMB 1.0 pc’mizde açıkmı onu kontrol edelim aşağıdaki komut powershell’e girerek

“Get-SmbServerConfiguration”

İşaretli yerde görüldüğü üzre “true” durumda şimdi powershell’e aşağıdaki kodu yazarak false yapıp bu özelliği kapatıyoruz

“Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force”

tekrar  “Get-SmbServerConfiguration” yazarak True kısmının False olduğunu görüyoruz...

Bu işlemi program ekle kaldırdan, Windows özelliklerini aç/kapat kısmından da yapabiliriz.

Görüntüdeki kısımdaki check işaretini kaldırmalısınız...

Tabi bu sadece yayılmayı engeller, virüs bulaşırsa ve ya bulaşmaması için önceki makaleyi de okuyunuz...

https://ipucunda.blogspot.com.tr/2017/05/wannacry-virus-saldrs-ve-cozum-yollar.html

Sağlıcakla kalın...

WannaCry Virüs Saldırısı ve Çözüm Yolları

           Bilindiği üzre WannaCry isimli önceleri sadece bir fidye yazılımı olduğu sanılan sonra aynı zamanda bir solucan türü olduğu tespit edilen bu zararlı yazılım bulaştığı bilgisayardan başka bilgisayarlara da yayılma özelliğine sahip. Türkiye dahil en az 99 ülkenin başına bela olan WannaCry birkaç saat içinde dünya genelinde yayıldı. İngiltere’de sağlık sistemi çöktü, bazı hastanelerde ameliyat yapılamıyor. Bu yazılımın Shadow Brokers adlı bilgisayar korsanları tarafından ilk olarak geçen ay dolaşıma sokulduğu öğrenildi. Söz konusu grup, yayınladığı yazılımın ABD istihbarat kuruluşlarından Ulusal Güvenlik Ajansı’na (NSA) ait olduğunu öne sürerken, yetkililer ve uzmanlar, bu zararlı yazılımın Microsoft’a ait Windows işletim sistemindeki bir güvenlik açığını kullanarak, farklı şebekeler üzerinde otomatik olarak yayıldığını belirtiyor.

Yazıyı okumaya üşenenlere kısa bir özetle videoda da anlattım...

Microsoft Mart ayında açıkla ilgili yama yayınladı fakat birçok bilgisayarda bu güncelleme yapılmamış olabilir. Saldırıdan korunmanın yolları var. İşte WannaCry’la ilgili bilmeniz gereken her şey…

WannaCry kurbanlarını ekte fatura, iş teklifi, güvenlik uyarısı, kargo bildirimi ya da başkaca makul dosyalar içeren spam e-postalarla yönlendirdiği linkler sayesinde ele geçiriyor. Bu zalım fidye yazılımının şifreleyici ve kilitleyici olmak üzere iki farklı türü var.

Şifreleyici türü, bulaştığı bilgisayardaki her türlü veriyi şifreliyor ve kullanıcının bunları açmasını engelliyor.

Kilitleyici tür ise bilgisayarın kilitlenmesine ve sadece dosyaların değil, tüm sistemin erişilemez hale gelmesine neden oluyor.

Reuters’ın haberine göre; WannaCry sadece bir fidye yazılımı değil, aynı zamanda bir solucan. Yani bilgisayarınıza girdiğinde, yayılmak üzere başka bilgisayarlar arıyor.

An itibari ile bulaşan ülkeler şu şekilde;

Daha bir kaç saat önce bunun yarısı kadar bile değilken hızla yayılmaya devam ediyor. 

Saldırıyı düzenleyenler genellikle dosyaları ve sistemi erişime açacak olan özel anahtarı vermek için bilgisayarın sahibinden belli bir ücret talep ediyor. Genelde 300 ya da 600 dolar gibi aslında çokta yüksek olmayan paralar talep eden virüs bu paralar verilse bile kesin çözüm sağlamıyor.

Virüs bulaştığında ekranınıza aşağıdaki gibi bir uyarı geliyor ve bitcoin hesabına belirtilen meblağın yatırılması isteniyor. Güvenlik araştırmacıları, bazı kurbanların dijital para bitcoin üzerinden ödeme yaptığını fakat siber zorbalara ne oranda para gittiğini bilmediklerini gözlemledi.

Bazı WannaCry virüsünü bulaştırdığı tespit edilen mail adresleri de şu şekilde;

Görüldüğü üzre bilindik sitelerin isimlerine yakın adlar alarak sanki güvenilir sitelermiş havası vermeye çalışılıyor. Yönlendirdiği linkte ise sizi malum attack karşılıyor. Siz siz olun bir kaç kez kontrol etmeden hiç bir siteyi açmayın.

Sistemden etkilenen ve ya hedefte olan bankaların da listesi yayınlandı, görüldüğü üzre bir çok Türk Bankası da hedefte..

Even gelelim korunma yollarına; Bu zararlı yazılım bilgisayarınıza yayılmışsa bunun format ötesinde şimdilik bir çözümü yok ancak korunmak için Microsoft’un 14 Mart’ta yayımladığı MS17-010 yaması, saldırıya karşı bilgisayarınızı güvenli hale getiriyor. Siber saldırılardan sürekli korunmak için Windows sisteminizi, anti virüs yazılımınızı güncelleyin ve sisteminizi sık sık taratmayı ihmâl etmeyin.

İlgili yamayı aşağıdaki linkten bulabilirsiniz;

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Sistem uzmanları için de aşağıdaki önlemler gerekli...

Virüs koruma programı AVG’nin araştırmacısı Jakub Kroustek saldırıdan en çok etkilenen ülkelerin başında Rusya, Ukrayna ve Tayvan’ın geldiğini açıkladı.

Rusya merkezli sanal güvenlik şirketi Kaspersky’den araştırmacı Costin Raiu da etkilenen bilgisayarların sayısını 45 bin olarak verdi.

Avast firması da WannaCry ve WannaCry türevi isimlerle bilinen fidye yazılımına 75 bin bilgisayarda rastlandığını açıkladı.

Birçok araştırmacı vakaların birbiriyle bağlantılı olduğunu fakat belli hedeflere yönelik koordineli saldırı olmayabileceğini söyledi.

Mucize komut satırı Wmic ve bir kaç sihirli komut

Windows Yönetim Araçları komut satırı (WMIC), Windows Server 2003 ailesindeki işletim sistemlerini çalıştıran bilgisayarları yönetmek için WMI’dan yararlanmanıza olanak vermek amacıyla, Windows Yönetim Araçları’na (WMI) yönelik, basit bir komut satırı arabirimi sağlar. WMIC, var olan kabuklar ve hizmet programı komutlarıyla birlikte çalışır ve komut dosyaları veya diğer yönetime dayalı uygulamalar yoluyla kolayca genişletilebilir.

Kullanımı basittir, komut satırına wmic yazıp enter e basılırsa wmic editörü gelir ya da direkt wmic den sonra /"istenen komu" yazarak ta çalışabilir...

Aşağıdaki örnekte üstte bilgisayarımızın modelini direkt öğreniyoruz. Seri numarasını da editöre geçerek öğreniyoruz...

Örnek yapabileceğimiz en basit şeylerden birisi ancak ağımızdaki bir çok bilgisayar 
için bu bilgiler gerekliyse çok yararlı olabiliyor. 
Bilgisayarınızdaki program listesi servis listesi vb. şeyler listelenebiliyor. 
ilenirse istenen çıktı formatı ayarlanabiliyor text ya da html olarakta dönüştürülebiliyor. 
Sizin ya da ağdaki bilgisayarlarınız için program bile kaldırabiliyorsunuz.

Mesela başka bir örnek verelim; Sonrasında da daha da detaya inelim.

Örneğin wmic ile servislerinizin listesini almak isterseniz;

wmic komut satırında SERVICE yazmanız yeterlidir.

Bunu bir dosyaya çıktı olarak yollamak isterseniz;

WMIC /OUTPUT:”C:\ServiceList.txt”

Service komut çıktısında çok fazla detay var, bana hepsi lazım değil derseniz 
özelleştirebilirsiniz:

WMIC Service Get caption, name, Started, Startname, state

gibi özelleştirebilir, istediğiniz kolonlardaki bilgiyi alabilirsiniz.

Çıktıyı text değil de html formatında da alabilirsiniz. Hatta bir kolona göre sıralayabilirsiniz 
WMIC /OUTPUT:”C:\ServiceList.html” SERVICE Get caption, name, Started, Startname, 
state /format:”htable-sortby.xsl”:”sortby=State”

WMIC’i hem lokal makinede kullanabilirsiniz hem de uzak bilgisayarlardan 
bilgi toplayabilir veya konfigurasyon yapabilirsiniz.

Yapabilecek çok fazla komut var listesini de  wmic /?  yazarak öğrenebiliyoruz...

Kendi kullandığım ve netten bulduğum bir kaç hazır komut var onları da paylaşacağım...

Belirli bir bilgisayarda kurulu programları listelemek için:

/node:BİLGİSAYARADI product get name,version,vendor

İsminde adobe geçen programları listelemek için:

/node:BİLGİSAYARADI product where "name like 'adobe%'" get name,version,

identifyingNumber

Program kaldırmak için:

/node:BİLGİSAYARADI product where name="TeamViewer" call uninstall

Birçok bilgisayardan aynı anda belirli bir programı kaldırmak için:

/failfast:on /node:@"c:\bilgisayarlar.txt" product where name="TeamViewer" 

call uninstall /nointeractive

NOT:(Bu komuttaki bilgisayarlar.txt dosyası domain’deki bilgisayar isimlerini içeren bir 
metin dosyası olacaktır. /failfast:on parametresi komut çalıştırıldığı sırada çevrimdışı
olan bilgisayarları atlayarak ilerlemeyi sağlar. /nointeractive parametresi program 
kaldırma işleminden önce onay sorusunun sorulmasını engeller.)

Domain’deki bilgisayarlarda program aramak ve bunların çıktısını almak

/node:@srv.txt /user:DOMAIN\USERNAME /password:PASSWORD /output:out.txt 

product where "name like '%.net framework%'" get name, version /format:csv

NOT:(srv.txt dosyasını arama yapılacak her bilgisayar adı bir satıra gelecek şekilde 
oluşturabilirsiniz. Komutu psexec yardımıyla da kullanabilirsiniz.)

Sunucularda kurulu olan Windows Update paketlerini listelemek 

wmic qfe get csname,hotfixid | find /i "KBxxxx" > c:\sonuc.txt

Bir uzak makinenin TCP/IP ayarlarını öğrenmek

WMIC /NODE:”UzakMakineAdi” /USER:”Domain\KullaniciAdi” 

/PASSWORD:”P@ssw0rd” /OUTPUT:”C:\IpConfig.txt” NICCONFIG Get Caption

,IpAddress, IpSubnet, DNSHostName, DefaultIpGateway, DHCPEnabled

, DHCPServer, WINSPrimaryServer, DHCPEnabled

 Ip adresini bildiğiniz aynı ağ üzerinde olan bilgisayarda o anda kimin oturumu 
açık olduğunu öğrenmek

WMIC /Node:10.24.10.55 ComputerSystem Get UserName 

Uzaktaki bir bilgisayarın seri numarasını, işletim sistemi versiyonunu, 
bilgisayarın adını, cihazın marka ve modelini öğrenme

wmic /node:10.24.10.55  Bios get  Serialnumber, Systemname, Name, Description, Manufacturer

Listesini oluşturduğumuz ağdaki bilgisayarların istenilen bilgilerinin 
listesini yazdırmak

wmic /node:@%userprofile%\desktop\computers.txt /Output:”%userprofile%\desktop\ProcessorReport.txt” bios get Serialnumber,Systemname,Name,Description,Manufacturer,AddressWidth,DeviceID /format:list

NOT:( computer.txt isimli dosya içinde alt alta yazdığınız bilgisayarların
(ip ya da netbiosname) bilgilerini masaüstünüzdeki bir dosyaya liste şeklinde yazdırabilirsiniz.
 /format parametresyle oynayarak bu çıktının csv ya da html olmasını sağlayabilirsiniz. )

Yüklü olan yama listesi için:

wmic qfe list

Static bir ip adresi vermek için:

wmic nicconfig where index=9 call enablestatic(“10.0.0.2”), (“255.255.255.0”)

Gateway adreslerini değiştirmek için:

wmic nicconfig where index=9 call setgateways(“10.0.0.4”, “10.0.0.5”),(1,2)

DHCP enable hale almak için:

wmic nicconfig where index=9 call enabledhcp

Harddisk sürücü hakkında bilgi almak için:

wmic logicaldisk where drivetype=3 get name